Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Termit
Alla olevassa taulukossa on esitelty viitekehyksessä käytettyjä termejä ja sanastoa. Termien ja sanaston lähteenä on käytetty JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen ja Kyberturvallisuuden sanasto (Turvallisuuskomitea) sanastoja.
| Termi | Määritelmä | Huomautus | |
|---|---|---|---|
arkkitehtuuriperiaate | periaate, jolla ohjataan kehittämistä ja toteutusta tavoitteellisesti linjausten mukaisiin arkkitehtuuriratkaisuihin | ||
arkkitehtuurin viitekehys | malli, jonka mukaan organisaation tai muun kehittämiskohteen rakenteita jäsennetään, hallitaan ja kehitetään | Arkkitehtuurin viitekehys kuvaa käytettävät arkkitehtuurin näkökulmat ja tasot. Arkkitehtuurin viitekehys voi olla valmis jäsennysmalli tai organisaation omaan käyttöön räätälöity arkkitehtuurirakenteiden jäsennys. | |
konfiguraationhallintajärjestelmä, CMDB | en Configuration Management Database | järjestelmä, joka ylläpitää yhtä tai useampaa konfiguraatiotietokantaa | Konfiguraatiotietokannoissa säilytetään ICT-resurssien ja -komponenttien konfiguraatiotietueet koko niiden elinkaaren ajan ja kukin tietokanta säilyttää rakenneosien ominaisuudet ja suhteet toisiin rakenneosiin. |
hallintamalli | malli, joka käsittää roolien ja vastuiden määrittelyn, organisoinnin, johtamisen ja hyödyntämisen prosessit sekä toimintamallin | Arkkitehtuurin hallintamallia noudattaen hallinnon toimijat kehittävät, hyödyntävät ja ylläpitävät arkkitehtuuria sekä virasto- ja hallinnonalatasolla että koko hallinnon organisaation tasolla. | |
integraatioarkkitehtuuri | kokonaisarkkitehtuurin näkökulma, jossa suunnitellaan ja kuvataan organisaatioiden ja tietojärjestelmien vuorovaikutusta | Integraatioarkkitehtuuri kuvaa myös periaatteet, joilla sovelluksen liittymät muihin järjestelmiin ja sovelluksiin toteutetaan. | |
kokonaisarkkitehtuuri | en Enterprise Architecture | 1) organisaation tai muun kohteena olevan kokonaisuuden rakenne 2) organisaation tai muun kohteena olevan kokonaisuuden rakenteen kuvaus, jota käytetään toiminnan kehittämisessä | Kokonaisarkkitehtuurin avulla on mahdollista hallinnoida ja kehittää organisaatioiden tai muiden valittujen kohteiden toimintaa systemaattisesti. |
kyvykkyys | en Capability | kyky toimia tarkoituksenmukaisella tavalla tietyllä osa-alueella, ja hyödyntää osaamistaan sekä resurssejaan, jotta tavoitteet saavutetaan | Organisaatioiden kyvykkyyksien toteuttamiseen tarvitaan yleensä yhdistelmiä kolmesta osakokonaisuudesta, joita ovat toimintamallit ja prosessit, henkilöstö ja osaaminen sekä tiedot ja järjestelmät. |
rajapinta | en interface | tietyn standardin mukainen tai muuten sovittu käytäntö tai yhtymäkohta, joka mahdollistaa tietojen siirron laitteiden, ohjelmien tai käyttäjien välillä | |
rakenneosa | en Structural Behavioural Element | yleisesti mikä tahansa kokonaisarkkitehtuurin kuvaama organisaation toiminnan rakenteellinen tai toiminnallinen elementti | Kokonaisarkkitehtuurin sisällön viitekehys kuvaa joukon mahdollisia rakenneosia. Laajempi joukko erilaisia rakenneosia on määritelty kokonaisarkkitehtuurin kansainvälisissä viitekehyksissä (esim. TOGAF ja Archimate). Suunniteltava arkkitehtuuri koostuu joukosta erilaisia rakenneosia ja niiden välisiä suhteita. |
rakennusosa | en Building Block | vakioitu potentiaalisesti uudelleen käytettävä arkkitehtuurin rakenneosa tai niiden joukko | Rakennusosat voivat olla rakenteellisia ja hierarkkisia; ylemmän abstraktiotason rakennusosa voi koostua useista alemman abstraktiotason rakennusosista. Rakennusosien avulla arkkitehtuurille ja sen kehittämiselle tarjotaan hyödynnettäväksi valmiita komponentteja. |
ratkaisuarkkitehtuuri | en Solution Architecture | kehittämishankkeen tai -projektin toteutuskokonaisuutta kuvaava arkkitehtuuri | Ratkaisuarkkitehtuuri voi kuvata esimerkiksi toimintamalliuudistusta tai yhtä tai useampaa kehitettävää tietojärjestelmää. |
sidosryhmä | yksilö, ryhmä tai organisaatio, jolla on jokin intressi tai vaatimuksia kehitettävän kohteen suhteen tai johon tehtävät ratkaisut vaikuttavat elinkaarensa aikana | Sidosryhmät voivat olla joko sisäisiä tai ulkoisia. Esimerkiksi käyttäjät muodostavat sisäisen sidosryhmän. Lakien ja asetusten säätäjät edustavat ulkoista sidosryhmää. Tässä suosituksessa käytetään käsitettä toimijat, joka sisältää em. sidosryhmät ja muut toimijat. | |
teknologia-arkkitehtuuri | en Technology Architecture | kokonaisarkkitehtuurin näkökulma, joka kuvaa organisaation teknologista infrastruktuuria ja järjestelmäarkkitehtuurin teknologiavalintoja | Teknologia-arkkitehtuuri keskeinen tavoite on linjata ja rajata käytettävät tekniset vaihtoehdot, standardit ja rakenteet siten, että kokonaisuus tukee parhaalla mahdollisella tavalla organisaation tavoitteita. |
tietoarkkitehtuuri | en Information Architecture | kokonaisarkkitehtuurin näkökulma, joka kuvaa organisaation käyttämät tiedot sekä tietojen rakenteet ja suhteet | Tietoarkkitehtuurissa tarkastellaan organisaation informaatiotarpeita, tietopääomaa, tietojen välisiä suhteita, informaatioarvoketjuja, tietojen rakenteita sekä informaation organisointia ja hallintaa. Tietoarkkitehtuurin suunnittelun tavoitteena on luoda organisaatiotasoinen yhteinen näkemys keskeisestä tietopääomasta sekä helpottaa tiedon löytämistä, välittämistä ja hallintaa. Suunnittelulla tähdätään tietorakenteiden vakiointiin ja sen mahdollistamaan tietojen uudelleenhyödynnettävyyteen. |
tietojärjestelmä | en Information System | järjestelmä jonkin yhtenäisen, pysyväisluonteisen tietojenkäsittelykokonaisuuden suorittamiseen | Tietojärjestelmän muodostavat tiedot ja niiden käsittelysäännöt, käsittelyn henkilö- ja laiteresurssit sekä tiedonsiirtolaitteet ja toimintaohjeet. Tietojärjestelmäksi kutsutaan usein myös sovelluskokonaisuuksia. |
tietojärjestelmäarkkitehtuuri | en Application Architecture | kokonaisarkkitehtuurin näkökulma, jossa kuvataan keskeiset tietoja käsittelevät sovellukset ja sovelluskokonaisuudet (tietojärjestelmät), sovellusten keskinäiset suhteet ja riippuvuudet sekä keskeiset ominaisuudet | Tässä näkökulmassa ei ole kyse ohjelmistoarkkitehtuurista, vaan tarkoituksena on määritellä millaiset sovellukset ovat tarpeen organisaatiolle ja mitä niiden tulee tehdä käsitelläkseen ja esittääkseen organisaation tiedot organisaation toimijoille ja tietojärjestelmille. |
tietovaranto | looginen tietoaineistojen kokoelma | Toiminnan ja hallinnon tarpeista johdettu ja määritelty tietoaineistojen kokoelma. Se voi koostua tai olla osa yhden tai useamman järjestelmän tuottamista tai tietokannan sisältämistä tiedoista. Usea järjestelmä voi käyttää saman tietovarannon tietoja, jotka voivat olla peräisin yhdestä tai useammasta lähteestä eli tietokannasta tai muista tietorakenteista. | |
tietoverkko | tietokoneiden ja niitä yhdistävien tietoliikenneyhteyksien muodostama tietoliikenneverkko | Verkon avulla tietokoneet voivat viestiä keskenään sekä jakaa resursseja ja digitaalista informaatiota. | |
tietovirta | tiedon siirtyminen eri elementtien ja rakenneosien välillä. | Tietovirtoja esiintyy mm. prosesseissa, organisaatioissa, tietovarannoissa ja tietojärjestelmissä. | |
toiminta-arkkitehtuuri | en Business Architecture | kokonaisarkkitehtuurin näkökulma, joka kuvaa organisaation toiminnalliset rakenteet | Organisaation toiminnallisia rakenteita ovat mm. sidosryhmät, palvelut ja tuotteet sekä prosessit ja organisaatiot. Myös toiminnan kehittämisen perusrakenteet, kuten visiot ja strategiat, ovat osa toiminta-arkkitehtuuria. Toiminta-arkkitehtuurin suunnittelun tavoitteena on optimoida ja suunnitella asiakkaiden tarpeisiin ja odotuksiin liittyvää palvelutarjontaa sekä palveluiden tuottamiseen tarvittavia toiminnan rakenteita. Tunnetaan myös termillä liiketoiminta-arkkitehtuuri. |
varautuminen | toiminta, jonka tarkoituksena on luoda ja ylläpitää organisaation riittävä valmius oman toiminnan jatkumiseen normaaliolojen vakavien häiriötilanteiden ja poikkeusolojen varalta | ||
viitearkkitehtuuri | kehitettävään kohteeseen sovellettava loogisen ratkaisumallin kuvaus | Viitearkkitehtuuri tarjoaa yhteisen mallin ja käsitteistön kehitettävän kohteen arkkitehtuurin suunnitteluun ja toteuttamiseen määrittäen kohteeseen kuuluvat rakenteet ja niiden väliset suhteet. Viitearkkitehtuuri ohjaa organisaation tai kehitettävän kohteen arkkitehtuuria. Viitearkkitehtuurin laajuus ja kattavuus voi vaihdella. Se voi olla esimerkiksi sisäinen, toimialaspesifi tai kansainvälinen yleinen malli, kuten ISO-standardi. | |
| riski | sv risk en risk | epävarmuuden vaikutus tavoitteisiin | Vaikutus on poikkeama odotetusta. Se voi olla myönteinen, kielteinen tai molempia, ja se voi käsitellä, luoda tai saada aikaan mahdollisuuksia ja uhkia. Riski ilmaistaan tavallisesti riskin lähteiden, mahdollisten tapahtumien, niiden seurausten ja niiden todennäköisyyden yhdistelmänä. Riskit voivat kohdistua esimerkiksi ihmisiin, eläimiin, omaisuuteen, tietojärjestelmiin, ympäristöön tai yhteisöllisiin arvoihin. Yleiskielessä sekä suomen kielen sanan "riski" että ruotsin- ja englanninkielisten vastineiden merkitys on kielteinen. |
| suojattava kohde; turvattava kohde | sv objekt n som ska skyddas en asset to be protected | yhteiskunnan tai organisaation toiminnan kannalta merkityksellinen kohde, joka halutaan suojata riskien varalta | Suojattava kohde voi olla esimerkiksi tieto, tietojärjestelmä, prosessi, fyysinen tila, yksittäinen asiakirja tai työasema. |
| turvallisuusluokitusmerkintä; turvaluokitusmerkintä | sv anteckning om säkerhetsklassificering en security classification marking määritelmä | erityinen merkintä joka tehdään salassa pidettävään viranomaisen asiakirjaan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta | Turvallisuusluokitusmerkintä voidaan tehdä asiakirjaan siinä tapauksessa, jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle. Turvallisuusluokitusmerkintää ei saa käyttää muissa kuin edellä mainitun lain 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön. |
| Kansallinen turvallisuusauditointikriteeristö; Katakri | sv Nationell kriteriesamling för säkerhetsauditering; Katakri en National Security Auditing Criteria; Katakri | viranomaisten käyttöön tarkoitettu arviointityökalu, jonka avulla voidaan arvioida kohdeorganisaation kykyä suojata viranomaisen turvallisuusluokiteltua tietoa | Kansallista turvallisuusauditointikriteeristöä voidaan käyttää arvioitaessa organisaation turvallisuusjärjestelyjen toteutumista yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Lisäksi sitä voidaan käyttää apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä. |
turvallisuusselvitys | sv säkerhetsutredning en security clearance | Suojelupoliisin tai puolustusvoimien tekemä selvitys henkilön taustasta tai organisaation vastuuhenkilöistä, tietoturvan tasosta ja sitoumusten hoitokyvystä | Selvityksen laatimisen yleisenä edellytyksenä on, että selvityksen kohde on antanut siihen etukäteen kirjallisen suostumuksen. Turvallisuusselvityksen päätyttyä selvityksen kohteesta voidaan antaa turvallisuusselvitystodistus. Henkilöturvallisuusselvitys voidaan tehdä henkilöstä, joka työskentelee erityistä luottamusta vaativissa tehtävissä tai joka työtehtävissään voi merkittävällä tavalla vaarantaa valtion turvallisuutta. Selvityksen kattavuus vaihtelee sen mukaan, onko kyseessä suppea, perusmuotoinen vai laaja henkilöturvallisuusselvitys. Henkilöturvallisuusselvitystä hakee pääsääntöisesti työnantaja tai muu sellainen taho, jonka antamaa työtä tai toimeksiantoa selvityksen kohteena olevan henkilön on tarkoitus hoitaa. Yritysturvallisuusselvitys voidaan tehdä suomalaisesta organisaatiosta, joka toimii viranomaisen sopimuskumppanina ja tarvitsee oikeuden käsitellä turvallisuusluokiteltuja viranomaistietoja. |
yhteiskunnan elintärkeä toiminto | sv samhällets vitala funktioner pl; vitala samhällsfunktioner pl en functions pl vital to society; vital functions pl of society | toiminto, joka on välttämätön yhteiskunnan toimivuuden kannalta | Yhteiskunnan elintärkeitä toimintoja ovat johtaminen, kansainvälinen ja EU-toiminta, puolustuskyky, sisäinen turvallisuus, talous, infrastruktuuri ja huoltovarmuus, väestön toimintakyky ja palvelut sekä henkinen kriisinkestävyys. |
kriittinen infrastruktuuri | sv kritisk infrastruktur en critical infrastructure; CI | perusrakenteet, palvelut ja niihin liittyvät toiminnot, jotka ovat välttämättömiä yhteiskunnan elintärkeiden toimintojen ylläpitämiseksi | Kriittiseen infrastruktuuriin kuuluu sekä fyysisiä laitoksia ja rakenteita että digitaalisia toimintoja ja palveluja. Muun muassa energian tuotanto-, siirto- ja jakelujärjestelmät, liikenne ja logistiikka, tieto- ja viestintäjärjestelmät sekä vesi- ja jätehuolto ovat osa kriittistä infrastruktuuria. Kriittisen infrastruktuurin yhteydessä käytetään usein englanninkielisiä ilmauksia "critical infrastructure protection" (CIP), joka tarkoittaa kriittisen infrastruktuurin suojaamista, ja "critical information infrastructure protection" (CIIP), joka tarkoittaa kriittisen tietoinfrastruktuurin suojaamista |
jatkuvuudenhallinta | sv kontinuitetshantering; hantering av kontinuitet en continuity management; > business continuity management | organisaation prosessi, jolla tunnistetaan toiminnan uhkat ja arvioidaan niiden vaikutukset organisaatiossa ja sen toimijaverkostossa sekä luodaan toimintatapa häiriötilanteiden hallinnalle ja toiminnan jatkuvuudelle kaikissa olosuhteissa | Jatkuvuudenhallinta on organisaation ylimmän johdon hyväksymää strategista ja operatiivista toimintaa, jolla organisaatio varautuu hallitsemaan häiriötilanteet ja jatkamaan toimintaa ennalta määritellyllä hyväksyttävällä tasolla. Jatkuvuuden hallinta on resilienssin osa-alue. Jatkuvuudenhallinta on yleensä omaehtoista toimintaa, mutta joillakin aloilla organisaatiot ovat myös lailla velvoitettuja varmistamaan toimintansa eri olosuhteissa. |
tietoturva; tietoturvallisuus | sv informationssäkerhet; it-säkerhet; > datasäkerhet (datamängder) en < information security; > data security (data sets) | järjestelyt, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus | Saatavuus tarkoittaa, että tieto on hyödynnettävissä haluttuna aikana. Eheys tarkoittaa tiedon yhtäpitävyyttä alkuperäisen tiedon kanssa ja luottamuksellisuus sitä, ettei kukaan sivullinen saa tietoa. Tietoturvan järjestelyjä ovat esimerkiksi kulunvalvonta, tilojen lukitus, asiakirjojen turvallinen säilytys ja hävitys, tietojen salaus ja varmuuskopiointi sekä palomuurin, virustorjuntaohjelman ja varmenteiden käyttö. Tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen. Tietoturvalla ja tietoturvallisuudella voidaan tarkoittaa myös oloja, joissa tietoturvariskit ovat hallinnassa. |
haavoittuvuus | sv sårbarhet; utsatthet; känslighet en vulnerability | alttius tietoturvaan kohdistuville uhkille | Haavoittuvuus voi olla mikä tahansa heikkous, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamisessa. Haavoittuvuuksia voi olla tietojärjestelmissä, prosesseissa ja ihmisen toiminnassa. Nollapäivähaavoittuvuus on tietojärjestelmässä oleva haavoittuvuus, johon ei ole saatavilla korjausta. |
henkilötietosuoja; tietosuoja | sv integritetsskydd n; skydd n för personuppgifter; sekretesskydd; sekretess en privacy protection; confidentiality of personal information /US/; data protection | järjestelyt, joilla pyritään varmistamaan henkilötietojen asianmukainen käsittely ja niiden yksityisyyden säilyminen | Henkilötietosuoja pyritään toteuttamaan muun muassa tietoturvalla. Aikaisemmin tietosuojasanan merkitys on ymmärretty laajemmin käsittämään muutakin kuin henkilötietojen suojaamista. |
tietoturvatapahtuma; tietoturvallisuustapahtum | sv informationssäkerhetshändelse; it-händelse en information security event | tietojärjestelmän tai organisaation toimintojen tapahtuma, jonka seurauksena tietojen tai palvelujen tila on muuttunut ja joka saattaa vaikuttaa tietoturvaan | Tietoturvatapahtumia voidaan havaita esimerkiksi tunnistamalla muutoksia tai poikkeamia (engl. anomalies) datassa tai tietojärjestelmän toiminnassa. Muutoksia ja poikkeamia havaitaan pääasiassa teknisiä työkaluja hyödyntävillä seulonnoilla. Ks. myös tietoturvahäiriö. |
tietoturvahäiriö; tietoturvapoikkeama | sv informationssäkerhetsincident; it-säkerhetsincident; it-incident en information security incident | yksi tai useampi toisiinsa liittyvä odottamaton tai ei-toivottu tietoturvatapahtuma, joka vaarantaa tietojen ja palvelujen tietoturvan ja vaikuttaa organisaation toimintaan epäsuotuisasti | |
tietoturvahäiriön hallinta; tietoturvapoikkeaman hallinta | sv hantering av informationssäkerhetsincidenter; hantering av it-incidenter; it-incidenthantering en information security incident management; incident management; information security incident handling; ~ information security incident response | toimenpiteet, joilla varaudutaan ja reagoidaan tietoturvahäiriöihin vahinkojen rajoittamiseksi ja niistä toipumiseksi | |
tietoturvavalvomo; tietoturvahallintakeskus | sv säkerhetsoperationscenter n en security operations centre; SOC; information security operations centre; ISOC | organisaatio tai sen osa, jossa muodostetaan, seurataan ja analysoidaan tietoturvan tilannekuvaa, ehkäistään, tunnistetaan ja analysoidaan tietoturvahäiriöitä, dokumentoidaan niitä sekä reagoidaan niihin ohjeistuksen mukaisesti | Organisaatiolla voi olla oma tietoturvavalvomo tai valvomon palvelut voidaan ostaa ulkopuoliselta palveluntarjoajalta. |
pääsynhallinta | sv åtkomsthantering hellre än: accesshantering en access management; AM | menettelyt, joilla varmistetaan, että käyttäjät, laitteet, sovellukset ja järjestelmät pääsevät käyttämään tietojärjestelmissä olevaa tietoa roolinsa mukaisest | |
identiteetinhallinta | sv identitetshantering en identity management; IdM | menettelyt, joilla hallinnoidaan käyttäjien ja laitteiden tunnuksia, rooleja ja ryhmiä | |
käyttöoikeuksien hallinta | sv åtkomstkontroll hellre än: accesskontroll en access control | menettelyt, joilla myönnetään, evätään tai muilla tavoin käsitellään käyttöoikeuksia palveluihin ja järjestelmäresursseihin | Järjestelmäresursseja ovat esimerkiksi tiedostot ja tietoliikenneyhteydet. |
todentaminen; todennus mieluummin kuin: autentikointi | sv autentisering; verifiering; kontroll en authentication; verification | menettely, jolla pyritään varmistumaan kohteen todenmukaisuudesta, oikeellisuudesta tai alkuperästä | Kyberturvallisuuden yhteydessä todentaminen liittyy usein pääsynhallintaan ja sillä edistetään tietoturvaa. Todentamista on eri tasoista, se voi olla vahvaa tai heikkoa, ja se voidaan tehdä halutulla varmuustasolla. Vrt. tunnistus. |
monivaiheinen todentaminen; monivaiheinen todennus; monimenetelmäinen todentaminen; monimenetelmäinen todennus | sv multifaktorautentisering; MFA en multi-factor authentication; MFA; multi-step verification | todentaminen vähintään kahta eri menetelmää käyttäen | |
<tietoturva> käyttäjän manipulointi | sv social manipulering; social manipulation en social engineering | toiminta, jonka tavoitteena on hankkia luottamuksellista tietoa tekeytymällä tiedon käyttöön oikeutetuksi ja käyttämällä hyväksi tiedon käyttöön oikeutettuja henkilöitä | Käyttäjän manipulointi voi kohdistua yhteen tai useampaan henkilöön. Usein manipuloinnilla pyritään selvittämään käyttäjän salasana. |
kyber- | sv cyber- en cyber | Kyber-sanaa käytetään yleensä yhdyssanan määriteosana. Sanan merkityssisältö liittyy yleensä digitaalisessa muodossa olevan informaation käsittelyyn: tietotekniikkaan, digitaaliseen viestintään (tietoverkkoihin), tietojärjestelmiin tai tietokonejärjestelmiin. Yleensä vasta koko yhdyssanalla (määriteosan ja perusosan yhdistelmällä) voidaan ajatella olevan oma merkityksensä. Sanan kyber katsotaan tulevan kreikan kielen sanasta ”kybereo” (”ohjata”, ”opastaa”, ”hallita”). Englannin kielen cyber-alkuisissa termeissä kirjoitusasu vaihtelee. | |
kybertoimintaympäristö; kyberympäristö | sv cybermiljö; < cyberrymd en cyber environment; < cyberspace; > cyber domain | yhdestä tai useammasta digitaalisesta tietojärjestelmästä muodostuva toimintaympäristö | Kybertoimintaympäristölle on tunnusomaista elektroniikan ja sähkömagneettisen spektrin käyttö datan ja informaation varastointiin, muokkaamiseen ja siirtoon viestintäverkkojen avulla. Ympäristöön kuuluvat myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet. Esimerkkejä kybertoimintaympäristöistä ovat tietojärjestelmiin perustuvat ydinvoimalan ohjausjärjestelmä, elintarvikkeiden kuljetus- ja logistiikkajärjestelmä, liikenteen ohjausjärjestelmät sekä pankki- ja maksujärjestelmät. Englannin kielen termi ”cyber domain” viittaa sotilaalliseen kybertoimintaympäristöön. |
kyberturvallisuus ei: kybersuojaus | sv cybersäkerhet en cyber security; cybersecurity | tavoitetila, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan | Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. Kybertoimintaympäristön toiminnan häiriytyminen aiheutuu usein toteutuneesta tietoturvauhkasta, joten kyberturvallisuuteen pyrittäessä tietoturva on keskeinen tekijä. Tietoturvan lisäksi kyberturvallisuuteen pyritään muun muassa toimenpiteillä, joiden tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman toiminnot. Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin. Keskeiset tavoitteet ja toimintalinjat, joiden avulla Suomi vastaa kybertoimintaympäristöön kohdistuviin haasteisiin ja varmistaa sen toimivuuden, määritellään Suomen kyberturvallisuusstrategiassa (valtioneuvoston periaatepäätös 24.1.2013). |
kyberturvallisuuden tilannekuva; kybertilannekuva | sv lägesbild över cybersäkerheten en cyber security situational picture; cyber security situation picture; < cyber security situation awareness | koottu kuvaus tietojärjestelmien tietyllä hetkellä vallitsevasta käytettävyys- ja turvallisuustilanteesta sekä kybertoimintaympäristön vallitsevasta tilasta | Kyberturvallisuuden tilannekuvaa tuotetaan päätöksenteon tueksi ja se perustuu havaintoihin, arviointeihin, mittareihin ja analyyseihin. Kyberturvallisuuden tilannekuvaa voidaan tarkastella taktisella, operatiivisella tai strategisella tasolla. Kyberturvallisuuden tilannekuvaa tuotetaan usein yhteistyössä eri toimijoiden kesken. Viestintäviraston Kyberturvallisuuskeskus kokoaa ja koordinoi kansallista kyberturvallisuuden tilannekuvaa. |
tietoverkkovalvonta; verkkovalvonta ei: kybervalvonta; massavalvonta | sv nätövervakning; nätverksövervakning; övervakning av nätverk en network surveillance | toiminta, jossa seurataan ja analysoidaan omissa tietoverkoissa tapahtuvaa tietoliikennettä | Organisaatiot voivat seurata ja analysoida oman tietoverkkonsa tietoliikennettä esimerkiksi teknisen vian tai virheen havaitsemiseksi tai tietoturvasta huolehtimiseksi. |
tietoturvauhka | sv hot n mot informationssäkerhet; informationssäkerhetshot n en data security threat; information security threat | mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku, joka kohdistuu tietoturvaan ja toteutuessaan vaarantaa sen | |
kyberuhka | sv cyberhot n en cyber threat | mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku, joka kohdistuu kybertoimintaympäristöön ja toteutuessaan vaarantaa siitä riippuvaisen toiminnon | Kyberuhkat voivat aiheutua paitsi toteutuneista tietoturvauhkista myös digitaalisessa viestintäympäristössä toteutettavista, yhteiskunnan turvallisuutta vaarantavista teoista. Kyberuhkat voivat kohdistua yhteiskunnan elintärkeitä toimintoja, kansallista kriittistä infrastruktuuria tai kansalaisia vastaan joko suoraan tai välillisesti. Ne voivat olla peräisin maan rajojen sisältä tai niiden ulkopuolelta. Esimerkkejä kybertoimintaympäristöistä riippuvaisista toiminnoista ovat ydinvoimalan ohjaus, elintarvikkeiden kuljetus ja logistiikka sekä liikenteen ohjaus. Ks. myös kyberturvallisuus. |
kyberhäiriötilanne; kyberturvallisuuden häiriötilanne; kyberhäiriö | sv cyberstörningssituation; störningssituation i cybersäkerheten; cyberstörning en cyber incident; cyber security incident | toteutunut kyberuhka, joka haittaa organisaation tai järjestelmän toimintaa | Kyberhäiriötilanteiden hallinta voidaan jakaa eri osa-alueisiin, joita ovat esimerkiksi varautuminen, tilannekuvan muodostaminen, torjunta ja palautuminen. |
kyberrikollisuus; tietoverkkorikollisuus | sv cyberbrottslighet; nätbrottslighet; cyberkriminalitet en cybercrime | rikollisuus, joka muodostuu viestintäverkkoja ja tietojärjestelmiä hyödyntäen tehdyistä sekä niihin kohdistuvista rikoksista | Kyberrikollisuuden vaikutukset kohdistuvat tietojärjestelmien kautta niin valtioihin, yksityisiin kansalaisiin kuin organisaatioiden toimintaan. Kyberrikoksia ovat esimerkiksi tietojen kalastelu, identiteettivarkaudet ja palvelunestohyökkäykset. |
kybervakoilu; tietoverkkovakoilu | sv cyberspioneri; cyberspionage; nätspioneri; nätspionage en cyber espionage; cyber spying | vakoilu, jossa hyödynnetään tietoverkkoja, niihin liitettyjä laitteita ja ohjelmistoja | Kybervakoilu voi kohdistua valtioihin, yksityisiin kansalaisiin tai yrityksiin tai muihin organisaatioihin. Kybervakoilussa voidaan käyttää hyväksi esimerkiksi kohdistettuja haittaohjelmahyökkäyksiä. Kybervakoilu on kansallisen lainsäädännön mukaan pääsääntöisesti lainvastaista toimintaa (vrt. tietoverkkotiedustelu). |
palvelunestohyökkäys | sv överbelastningsangrepp n hellre än: överbelastningsattack en denial of service attack; DoS attack | tietoverkkohyökkäys, jolla pyritään kuormittamaan ja siten lamaannuttamaan jokin palvelu tai tietojärjestelmä | Palvelunestohyökkäys voi esimerkiksi lamaannuttaa sähköpostin suurella määrällä sähköpostiviestejä taikka palvelimen tai reitittimen liian suurella määrällä palvelupyyntöjä. Jos palvelunestohyökkäys tulee yhdestä IP-osoitteesta, se on suhteellisen helppo havaita ja torjua esimerkiksi palomuurin avulla. Siksi palvelunestohyökkäys on yleensä hajautettu palvelunestohyökkäys (engl. distributed denial of service attack, DDoS attack), eli se toteutetaan yhtä aikaa useista eri lähteistä. Hajautettuun palvelunestohyökkäykseen käytetään usein hyökkääjän tietoverkon kautta haltuunsa ottamista tietokoneista muodostuvaa bottiverkkoa. Jos palvelu lamaantuu tahattomasti ilman, että taustalla on hyökkäystä, tästä voidaan käyttää palvelunestotilanne-termiä. Esimerkiksi suosittu verkkosivusto voi lamaantua hetkellisen ja normaalia suuremman kävijämäärän vuoksi. Sekä palvelunestohyökkäys että palvelunestotilanne voivat aiheuttaa palvelunestotilan. |
haittaohjelma; haittakoodi | sv skadligt program n; skadlig programvara; sabotageprogram n; skadeprogram n en malicious software; malware; malicious program | ohjelma, joka tarkoituksellisesti aiheuttaa tietojärjestelmän tai laitteen käyttäjän kannalta ei-toivottuja tapahtumia tietojärjestelmässä tai sen osassa | Haittaohjelmia ovat esimerkiksi virukset, madot ja troijalaiset sekä näiden yhdistelmät. |
kiristyshaittaohjelma; kiristysohjelma; lunnasohjelma | sv utpressningsprogram n en ransomware | haittaohjelma, joka salaa tai manipuloi laitteella olevia tietoja ja tyypillisesti vaatii käyttäjältä lunnaita salauksen purkamisesta | Kiristyshaittaohjelma voi tulla tietokoneeseen esimerkiksi sähköpostin liitetiedostona. Kun käyttäjä avaa liitetiedoston, kiristyshaittaohjelma latautuu koneelle, minkä jälkeen ohjelma esimerkiksi muuntaa joitakin tiedostoja salakirjoitettuun muotoon. Näitä tiedostoja ei voi avata ilman oikeaa salauksenpurkuavainta. Kiristyshaittaohjelman levittäjä lupaa toimittaa avaimen lunnaita vastaan. Kiristyshaittaohjelma voi myös uhata levittää tai paljastaa luottamuksellista tietoa. |
hallinnon turvallisuusverkko; turvallisuusverkko; TUVE | sv förvaltningens säkerhetsnät n en government security network | tietoverkko, jonka tarkoituksena on kaikissa turvallisuustilanteissa varmistaa valtion johdon ja yhteiskunnan turvallisuuden kannalta tärkeiden viranomaisten ja muiden toimijoiden yhteistoiminnan edellyttämän viestinnän häiriöttömyys ja jatkuvuus sekä turvata päätöksenteossa ja johtamisessa tarvittavan tiedon tietoturva | Hallinnon turvallisuusverkkoon kuuluvat viestintäverkko ja siihen välittömästi liittyvät laitetilat, laitteet ja muu infrastruktuuri sekä turvallisuusverkon yhteiset palvelut. |
Havainnointi- ja varoitusjärjestelmä HAVARO; HAVARO | sv Nationellt observations- och varningssystem n (HAVARO) en National Monitoring and Early Warning System (HAVARO) | erityisesti huoltovarmuuskriittisille organisaatioille suunnattu järjestelmä, joka havainnoi tietoturvauhkia ja varoittaa toteutuneista tietoturvaloukkauksista ja niiden yrityksistä | HAVARO on Viestintäviraston tuottama ja Huoltovarmuuskeskuksen rahoittama järjestelmä, ja sen tarkoitus on kehittää huoltovarmuuskriittisten organisaatioiden kykyä varautua tietoturvauhkiin. |
Huoltovarmuuskeskus; HVK | sv Försörjningsberedskapscentralen; FBC en National Emergency Supply Agency; NESA | työ- ja elinkeinoministeriön hallinnonalan laitos, jonka tehtävänä on maan huoltovarmuuden ylläpitämiseen ja kehittämiseen liittyvä suunnittelu ja operatiivinen toiminta | |
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä VAHTI; VAHTI ei: Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI | sv Ledningsgruppen för digital säkerhet inom den offentliga förvaltningen VAHTI; VAHTI inte: Ledningsgruppen för datasäkerheten inom statsförvaltningen VAHTI en Public Sector Digital Security Management Board VAHTI; VAHTI not: Government Information Security Management Board VAHTI | valtionhallinnon elin, joka käsittelee ja sovittaa yhteen valtionhallinnon keskeiset tietoturvan ja kyberturvallisuuden linjaukset | VAHTI on valtiovarainministeriön asettama ja toimii julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTI toimii Suomen kyberturvallisuusstrategian (valtioneuvoston periaatepäätös 24.1.2013) mukaisesti. |
kansallinen turvallisuusviranomainen | sv nationell säkerhetsmyndighet en National Security Authority; NSA | viranomainen, joka huolehtii kansainvälisten tietoturvavelvoitteiden toteuttamisesta ja valvoo, että kansainväliset turvallisuusluokitellut tietoaineistot suojataan ja että niitä käsitellään asianmukaisesti | Kansallinen turvallisuusviranomainen koordinoi määrättyjen turvallisuusviranomaisten (Designated Security Authority, DSA) sekä kansallisen tietoturvallisuusviranomaisen (National Communications Security Authority, NCSA) toimintaa, osallistuu kansainvälisiin turvallisuuskomiteoihin ja -työryhmiin ja kansainvälisten turvallisuussääntöjen valmisteluun, neuvottelee kahden- ja monenvälisiä tietoturvasopimuksia sekä myöntää henkilö- ja yritysturvallisuustodistuksia kansainvälistä yhteistyötä varten. Suomessa kansallisena turvallisuusviranomaisena toimii ulkoasiainministeriö. Määrätyt kansalliset turvallisuusviranomaiset Suomessa ovat puolustusministeriö, Pääesikunta ja Suojelupoliisi, joille kullekin on jaettu omat vastuualueensa kansallisen turvallisuusviranomaisen kokonaisvastuukentässä. Suomessa kansallisena tietoturvallisuusviranomaisena toimii Viestintäviraston Kyberturvallisuuskeskuksen NCSA-FI-ryhmä. |
Turvallisuuskomitea; TK ei: turvallisuus- ja puolustusasiain komitea; TPAK | sv Säkerhetskommittén inte: säkerhets- och försvarskommittén en Security Committee | puolustusministeriön yhteydessä toimiva, valtioneuvostoa ja ministeriöitä avustava komitea, joka on kokonaisturvallisuuden alalla varautumisen pysyvä yhteistoimintaelin ja tarvittaessa häiriötilanteissa asiantuntijaelin | Turvallisuuskomitea seuraa Suomen turvallisuusympäristön ja yhteiskunnan kehitystä ja sekä osaltaan sovittaa yhteen kokonaisturvallisuuteen liittyvää ennakoivaa varautumista. Lisäksi Turvallisuuskomitea seuraa ja yhteensovittaa Suomen kyberturvallisuusstrategian (valtioneuvoston periaatepäätös 24.1.2013) toimeenpanoa. |
Viestintäviraston kyberturvallisuuskeskus; Kyberturvallisuuskeskus | sv Kommunikationsverkets cybersäkerhetscenter; Cybersäkerhetscentret en National Cyber Security Centre Finland; NCSC-FI | Viestintäviraston yksikkö, joka kehittää ja valvoo viestintäverkkojen ja -palvelujen toimintavarmuutta ja turvallisuutta sekä ylläpitää kansallista kyberturvallisuuden tilannekuvaa | Viestintäviraston kyberturvallisuuskeskus tuottaa useita erilaisia tilannekuvatuotteita organisaatioille ja kansalaisille. Näitä ovat muun muassa varoitukset, haavoittuvuustiedotteet, tietoturva-aiheiset verkkojulkaisut ja toimialakohtaiset tietoturvatiedotteet. Viestintäviraston kyberturvallisuuskeskuksessa toimii CERT-FI-ryhmä (Computer Emergency Response Team). CERT-FI:n tehtäviin kuuluu verkko-, viestintä- ja lisäarvopalveluihin kohdistuvien tietoturvaloukkausten ennaltaehkäisy, havainnointi ja ratkaiseminen, tietoturvauhkista ja -asioista tiedottaminen sekä tiedon kerääminen. |
Overview
Content Tools